Spostare un endpoint da un account Nebula a un sito OneView

Spostare un endpoint da un account Nebula a un sito OneView

Nebula è una console per clienti singoli, mentre la console OneView è una console multitenant per MSP, che può gestire più clienti. Può essere utile spostare gli endpoint da Nebula ad OneView, per centralizzare la gestione della propria sicurezza o per integrare nella propria OneView un cliente acquisito precedentemente.

Avviare la migrazione nella pagina Siti di ThreatDown OneView

La sezione Sites della console OneView di ThreatDown by Malwarebytes mostra sia informazioni di riepilogo che di dettaglio circa i clienti (a ciascun cliente è associato un site). Da questa schermata si possono aggiungere, eliminare e gestire le sottoscrizioni (subscriptions) ai prodotti per il sito in questione. Questo articolo spiega come eseguire la migrazione di un account Nebula (a pagamento o trial) verso OneView.

Invito alla migrazione

  • Nel riquadro di spostamento sinistro fare clic su Sites.
  • Nell’angolo in alto a destra fare click sull’icona con i tre puntini verticali, quindi su ‘Site migration’.
  • Fornire il nome del sito e l’indirizzo email di contatto del sito.
  • Fare clic su Avvia per inviare l’email di migrazione.

  • Una volta che l’email di migrazione sarà stata ricevuta e accettata, fare clic su Run migration now nella colonna Migration status. Nel caso la colonna Migration status non sia visualizzata, è possibile aggiungerla tramite la funzione Add/Remove columns.
  • Inserire le informazioni seguenti nella finestra Site Migration del sito in site details:
    • Company name: nome della società di cui viene eseguita la migrazione. Site contact Info: nome del contatto per il sito. E-mail: Email del contatto per il sito.
    • Site Contract end date: data di scadenza del contratto per il sito.
  • Fare clic su Avanti.
  • Nella sezione Subscriptions selezionare quanto segue:
    • Tipo di abbonamento: scegliere tra Paid (Pagato), Triale 15 giorni, Trial di 30 giorni o NFR (Not for Resale, per uso interno).
    • Tipi di dispositivo: selezionare questa opzione per scegliere se proteggere solo workstation o workstation e server.
  • Protection level: consente di impostare il livello di   protezione massimo da applicare agli endpoint: (incident response, Endpoint Protection, Endpoint detection and response). N.B. Incident response non è disponibile per i server o per le trial.
  • License allocations: imposta il numero di dispositivi che desideri allocare per ciascun livello di protezione. Tutti gli endpoint installati verranno fatturati. Per creare una notifica per quando viene   superato il numero di allocazioni, andare nella sezione Notifications della console Oneview. N.B. Per le trial si può impostare un numero di endpoint compreso tra 1 e 100. Per la NFR sono assegnati automaticamente 20 endpoint per prodotto.
  • Fare clic su Next.
  • Nella pagina Users selezionare e selezionare i ruoli per ogni utente che si vuole migrare.
  • Fare clic su Finish. Al termine, lo stato della migrazione viene modificato in Completed.

Al termine della migrazione, è possibile riassegnare gli endpoint ai siti già esistenti all’interno della console OneView.

Eseguire un’utilità della riga di comando su ogni endpoint per registrare nuovamente un nuovo sito senza riavviare

Considerazioni preliminari

  • Gli endpoint verranno assegnati al gruppo predefinito di ciascun sito.
  • Gli oggetti nella quarantena del sito originale saranno disponibili nel nuovo sito.
  • La cronologia di rilevamenti, scansioni, attività e attività sospette non viene spostata, ma rimane nel sito precedente.
  • Il token account può essere modificato solo da un amministratore che esegue l’utilità EACMD .exe.

Panoramica del processo

  • Ottenere il token di account del sito di destinazione:
    • OneView
      • Accedere a ThreatDown OneView.
      • Nel menu di navigazione a sinistra, andare in Siti.
      • Selezionare il nuovo sito cui assegnare gli endpoint.
      • Il token Account viene visualizzato nella parte superiore della finestra.
    • Nebula
      • Accedi a ThreatDown Nebula.
      • Nel menu di navigazione a sinistra, andare in Download.
      • Scaricareil file PKG per macOS.
      • Il token Account viene visualizzato nel nome del file PKG di macOS, nel formato __xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx___.pkg.
  • Nel sito di destinazione, se si vuole avere un maggior controllo sul processo, si possono impostare notifiche via mail per tenere traccia delle registrazioni degli endpoint nel nuovo sito.
  • Come amministratore di Windows, eseguire questi comandi sull’endpoint:

Ein Bild, das Screenshot, Text, Software, Schrift enthält. KI-generierte Inhalte können fehlerhaft sein.

C:ProgrammiMalwarebytes Endpoint AgentUserAgent>EACmd .exe --changeaccounttoken=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxxxxx

  • Come amministratore Mac, esegui i seguenti comandi sull’endpoint:

SUDO '/Libreria/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/EndpointAgentDaemon.app/Contents/MacOS/EndpointAgentDaemon' AccountToken=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxx

SUDO launchctl stop com.malwarebytes.agent.daemonlaunchctl start 'com.malwarebytes.agent.daemon

  • Verificare che l’endpoint sia ora online e registrato nell’account di destinazione.
  • Eliminare l’endpoint dall’account di origine (dovrebbe risultare offline), utilizzando la console Nebula o il plug per Excel.

Deploy in Windows: Silent Scripting EACMD 

Di seguito è riportato un esempio di script per Windows per l’installazione silente, da usarsi tramite GPO o tramite uno strumento RMM:

ECHO OFF

NET SESSION > nul 2>&1 (@ECHO Error: Must run as Admin &amp; TIMEOUT /T 20 &; EXIT /B 1)<code>%PROGRAMFILES%Malwarebytes Endpoint AgentUserAgentEACmd .exe --changeaccounttoken=xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx

Questo script oltre a installare genera un log, rintracciabile in

"%programdata%Malwarebytes Endpoint AgentlogsEndpointAgent.txt"

Script per deploy silente in MacOsX

Per il deploy in MacOsX viene fornito, as it is, questo script:

#!/bin/bash

#

echo '----------------------------------------------------------------------------------------'

echo 'Changing AccountToken and restarting agent, to register to a new OneView or Nebula Site'

echo 'Input: sudo setenv MWB_accounttoken aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa'

echo 'Using an environment variable is compatible with RMM scripting'

echo 'Version 1.2 2020-12-07'

echo '----------------------------------------------------------------------------------------'

# If script is not running as root e.g manual testing, then prefix all commands with SUDO

SUDO=''

if (( $EUID != 0 )) ; then

echo 'Info : Not running as PID 0 root, therefore prefixing commands with sudo'

SUDO='sudo'

# Retrieve MWB_accounttoken from root environment and set into a local value

MWB_accounttoken=$(sudo launchctl getenv MWB_accounttoken)

fi

if [ $MWB_accounttoken ] ; then

echo "Info : Environment variable $MWB_accounttoken is $MWB_accounttoken"

else

echo "Error : Blank value. Must set environment variable prior to running this script."

echo "Or, edit this script to hardcode it"

echo "sudo setenv MWB_accounttoken aaaaaaaa-aaaa-aaaa-aaaa-aaaaaaaaaaaa"

return 1

fi

# Check if Endpoint Agent is Version 1.5, by its pathname

if test -f '/Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/EndpointAgentDaemon'; then

$SUDO '/Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/EndpointAgentDaemon.app/Contents/MacOS/' AccountToken=$MWB_accounttoken

exitcode=$?

echo "Info : $exitcode exitcode from change accounttoken"

echo "Info : Restarting Endpoint Management Agent"

$SUDO launchctl unload '/Library/LaunchDaemons/com.malwarebytes.EndpointAgent.plist'

echo "Info : $? exitcode from unload com.malwarebytes.EndpointAgent.plist"

$SUDO launchctl load '/Library/LaunchDaemons/com.malwarebytes.EndpointAgent.plist'

echo "Info : $? exitcode from load com.malwarebytes.EndpointAgent.plist"

exit $exitcode

fi

# Check if Endpoint Agent is Version 1.6....., by its pathname

# engine/daemon version 1.6.481 or higher

if test -f '/Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/EndpointAgentDaemon.app/Contents/MacOS/EndpointAgentDaemon'; then

$SUDO '/Library/Application Support/Malwarebytes/Malwarebytes Endpoint Agent/EndpointAgentDaemon.app/Contents/MacOS/EndpointAgentDaemon' AccountToken=$MWB_accounttoken

exitcode=$?

echo "Info : $exitcode exitcode from change accounttoken"

sleep 5

echo "Info : Restarting Endpoint Management Agent"

$SUDO launchctl stop com.malwarebytes.agent.daemon

echo "Info : $? exitcode from stop com.malwarebytes.agent.daemon"

sleep 5

$SUDO launchctl start 'com.malwarebytes.agent.daemon'

echo "Info : $? exitcode from start com.malwarebytes.agent.daemon"

# exit $exitcode

return $exitcode

fi

Disinstallare e reinstallare ThreatDown Endpoint Agent, che richiede un riavvio solo sui dispositivi Windows

Disinstallando e reinstallando un endpoint si cancella la sua appartenenza a un sito e lo si può assegnare a un altro. È il metodo più semplice ma più oneroso in termini di tempo.